|
|||||||
|
|
|
 |
|
|
Strumenti |
05-11-2010, 17:04
|
#1 |
|
Senior Member
Iscritto dal: Aug 2007
Messaggi: 1634
|
portatile infettato da malware non individuabile [Vista]
mi trovo per motivi di lavoro all'universita' di Amiens, in Francia. Appena arrivato ho avuto diversi problemi a connettere il mo pc portatile Dell con Win Vista alla rete dell'universita': dopo pochi minuti il mac address della mia scheda di rete veniva inserito
nella lista nera e venivo automaticamente disconnesso. tra ieri e oggi sono riandato dai sistemisti francesi per risolvere il problema. mi hanno confermato il problema di cui sopra dicendomi che adesso hanno le prove scritte che il mio pc quando e' connesso alla loro rete contiene un programma malevolo che memorizza tutto cio' che scrivo sulla tastiera (ivi comprese le password che sto cambiando una ad una...) e si comporta da "spione" nei confronti degli altri pc connessi alla stessa rete. cio' causa per i loro programmi di controllo (di cui ancora non sono riuscito a sapere il nome ma mi informero' prossimamente) la disconnessione del mio pc. dalla lista dei programmi attivi sul mio pc non risulta niente di malevolo. addirittura il sistemista del dipartimento mi ha detto che lui stesso non ha mai visto nulla del genere ( mi ha citato gli attacchi informatici attuati dalla russia all'estonia) e se avesse tempo nel giro di diverse settimane o addirittura mesi (tanto e' per la sua esperienza il tempo per scovare il malfattore) gli piacerebbe sapere cosa contiene il mio pc. un interesse direi scientifico!!!!! la loro soluzione, che alla fine seguiro', e' di utilizzare il dvd di installazione del pc per riportare tutto allo stato vergini. mi sto giusto appunto facendo spedire dall'italia tale DVD da mia madre. la soluzione temporanea che mi hanno trovato e' di avviare il pc tramite penna usb con S.O. ubuntu, da li' non ci sono problemi ed ho accesso al contenuto del mio hd, ma non ai programmi di windows, ovviamente... a proposito come si installa un programma come Thunderbird sotto Ubuntu?? e' la prima volta che lo utilizzo!!! devo per forza installarlo sulla penna usb o posso andare sull'hd? ecco la lista di antivirus e simili usati fino ad adesso che non hanno trovato NULLA di cosi' rilevante: Adaware Avast Avira Hijackthis Microsoft Internet Essential Spybot search and destroy confido in un vostro saggio consiglio!!!!! |
|
|
|
05-11-2010, 23:40
|
#2 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Modalità di pubblicazione dei log: Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.
__________________
Try again and you will be luckier.
|
|
|
|
|
|
08-11-2010, 11:15
|
#3 |
|
Senior Member
Iscritto dal: Aug 2007
Messaggi: 1634
|
log ComboFix:
http://www.filedropper.com/log_2 log HijackThis! http://www.filedropper.com/hijackthis_1 quali altri programmi di scansioni mi consigliate di utilizzare? ho usato anche norman malware ma niente di rilevante... allora intanto sono riuscito a sapere che strumento hanno utilizzato qua per riscontrare il problema: si chiama wireshark http://www.wireshark.org/ qualcuno lo conosce? e' affidabile? ora vado a provarlo di persona per vedere cosa succede.... Ultima modifica di Giulio_P : 08-11-2010 alle 11:29. |
|
|
|
|
08-11-2010, 11:37
|
#4 | |
|
Senior Member
Iscritto dal: Oct 2001
Messaggi: 19208
|
Quote:
 Per installare tutto ubuntu, a partire dal CD puoi: - avviare da cd e vedere com'è - installare su HD - installare su penna usb
__________________
Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza (O.W.) |
|
|
|
|
|
08-11-2010, 12:12
|
#5 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
08-11-2010, 16:56
|
#6 |
|
Senior Member
Iscritto dal: Aug 2007
Messaggi: 1634
|
ecco altri log:
Malwarebytes Anti-Malware http://www.filedropper.com/mbam-log-2010-11-0813-31-53 ESET SysInspector http://www.filedropper.com/sysinspec...ll-101108-1359 |
|
|
|
|
08-11-2010, 17:15
|
#7 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
08-11-2010, 21:51
|
#8 |
|
Senior Member
Iscritto dal: Aug 2007
Messaggi: 1634
|
scusa, mi era sfuggito che dovessi eseguire tutti i programmi con ordine... rimediero' appena possibile,
solamente che c'e' un problema non indifferente: mi riesce difficile se non impossibile al momento far girare i progammi sotto vista che richiedono una connessione internet (vuoi per aggiornamenti, vuoi per funzionare). come fare? e' anche per questo che ero andato diciamo cosi' "a caso". al momento posso solo postare quello che sono venuto a sapere dai sistemisti francesi , che , ripeto, hanno usato WireShark (spero non ci sia bisogno di traduzione...) Codice:
de l'extrait que j'ai, le pc fait un scan réseau, il essaye de se connecter sur les ports tcp : 139 8080 445 3389 80 5900 40080 En udp il essaye de faire un "GetRequest(25) .1.3.6.1.2.1.1.5.0" sur le port snmp de la machine distante. un mio amico mi ha ventilato l'idea che forse puo' essere un servizio di sistema di Vista che causa il problema.... |
|
|
|
|
10-11-2010, 21:51
|
#9 |
|
Senior Member
Iscritto dal: Aug 2007
Messaggi: 1634
|
ecco quello che mi ha risposto un tecnico tedesco (dove ero stato per qualche periodo... ho avvertito anche laggiu' per dirgli che potevo aver infettato anche loro; se quello che dice e' vero i francesi sono dei veri incompetenti di primo ordine, roba da barzeletta... 2 mesi e mezzo senza wifi !!!! e si parla di un'universita'.... e poi si parla male dell'italia!!!
prima di andare incazzato dai tecnici francesi (che domani risono in festa.... e magari venerdi' faranno anche ponte!!!) mi date la vostra opinione??? ditemi se c'e' bisogno che traduca qualcosa!!!! Codice:
Dear Mr. Peruginelli, I googeled for the ports and found this in a forum: "Postby mbg > 27. Jul 2010, 11:53 I just experienced something very similar on my (physical) home network: a brand new Windows 7 machine that was port-scanning my Linux machines every ten minutes or so on TCP ports 80, 8080, 3389, 5900, 40080, plus UDP port 161 The culprit was something called "Dell Network Assistant" also known as "Advanced Networking Service". The executable is hnm_svc.exe and can be disabled from the Administrative Tools->Services control panel. Everything is nice and quiet now. Thanks indeed Dell..." I hope this could clarify your problem. Ultima modifica di Giulio_P : 10-11-2010 alle 22:17. |
|
|
|
|
11-11-2010, 11:17
|
#10 | |
|
Senior Member
Iscritto dal: Oct 2001
Messaggi: 19208
|
Quote:
__________________
Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza (O.W.) |
|
|
|
|
|
11-11-2010, 12:44
|
#11 |
|
Senior Member
Iscritto dal: Aug 2007
Messaggi: 1634
|
quasi.... allora dell network assistant non ce l'ho installato, sara' un altro servizio della dell? (ho postato un mex anche sul forum dela Dell...)
per adesso ho trovato un file sospetto che veniva lanciato all'avvio, usando il programma Security Task Manager : lo conoscete, e' affidabile? tale programma sospetto e' una dll, dal nome btkeyind.dll, Security Task Manager me la dava malevola al 100% e mi dice anche che registra ogni cosa scritta sulla tastiera, cosi' come mi avevano detto i francesi... ovviamente l'ho subito messo in quarantena. |
|
|
|
|
11-11-2010, 13:44
|
#12 | |
|
Senior Member
Iscritto dal: Oct 2001
Messaggi: 19208
|
Quote:
__________________
Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza (O.W.) |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 14:17.
